Autor Tema: Acceso remoto a modem 2wire  (Leído 73986 veces)

0 Usuarios y 1 Visitante están viendo este tema.

fresh

  • ***
  • Mensajes: 283
  • Liked: 7
    • http://www.hakim.ws
Re: Acceso remoto a modem 2wire
« Respuesta #30 : noviembre 06, 2010, 10:54:57 pm »
Lo logré!! Remote Mangement de un 2wire 2701hg-t  aunque no de la manera que piensan, no fue posible hacerlo con el firmware 5.29.135.5 que es el que actualmente todos (o casi todos tienen) que por cierto las vulns que publicó hace tiempo "hkm" ya han sido parchadas.

Lo logré con el firmware de Quest http://www.qwest.com/internethelp/QA/modems/2701/popup_update_win.html

Saludos.
Podras engañar a todos ...excepto a ti mismo - Salomón Sorowitsch

manuelnet

  • Mensajes: 1
  • Liked: 0
Re: Acceso remoto a modem 2wire
« Respuesta #31 : noviembre 08, 2010, 12:41:42 am »
finalmente como quedo lo del usuario y contraseña?

adiaz

  • *
  • Mensajes: 38
  • Liked: 24
Re: Acceso remoto a modem 2wire (por fin)
« Respuesta #32 : agosto 20, 2011, 04:04:53 pm »
Ya logré entrar a mi 2wire por el puerto 50001. Les comparto como lo hice por si quieren probar.

Se me ocurrió que tal vez usando TR-069 podría obtener el usuario y contraseña de la administración remota. TR-069 describe el CPE WAN Management Protocol (CWMP), mediante este el ISP puede auto-configurar un Customer Premises Equipment o CPE (en nuestro caso el módem), actualizar su firmware, administrar módulos, monitorearlo y ejecutar diagnósticos, todo remotamente desde un Auto-Configuration Server (ACS)

La idea es que el 2wire use el ACS que levantemos y no el de Telmex (https://cwmp.telmex.com/), entre algunos pocos proyectos que encontré decidí probar el siguiente:
http://github.com/dpavlin/perl-cwmp

Me pareció ligero y fácil de instalar, básicamente se va a encargar de pedirle todos los parámetros que pueda a nuestro módem, aunque también puede hacer otras funciones como modificar valores.

Cuando empecé a probarlo me di cuenta de que entraba en un ciclo infinito donde solo obtenía el nombre de los parámetros y si estos son modificables o no. Así que recomiendo hacer el siguiente paso primero para ordenarle manualmente que obtenga también los valores (creando una cola):
Código: [Seleccionar]
$./bin/cpe-queue.pl [SerialNumber] --introspect 

Ya podemos iniciar el servidor:
Código: [Seleccionar]
$./bin/acs.pl

Ahora debemos cambiar el ACS URL de Telmex que se encuentra en http://192.168.1.254/mdc > "Avanzada" > "Configurar Servicios" por el URL del servidor que pusimos localmente, por ejemplo http://192.168.1.1:3333/

Hay que esperar a que el módem inicie una conexión con el ACS para que le pueda pedir parámetros, esto puede ocurrir por un informe periódico u otros eventos, si tarda mucho podemos reiniciar el módem. También se podría hacer un "Connection Request" al puerto 3479 del 2wire al path '/tr069_connreq_00D09E-[SerialNumber]' pero la contraseña no la conozco, sin embargo puede ser modificado por el ACS :).

Una vez iniciada la conexión empiezan los request, después de unos 500 pueden detenerlo y revisar el archivo .yml generado:
Código: [Seleccionar]
$ cat yaml/*.yml | grep MDC

El parámetro exacto es InternetGatewayDevice.X_00D09E_Custom.MDCURL y dentro del URL aparecen como usuario el número de serie y como contraseña un número hexadecimal de 36 dígitos, probablemente diferente para cada módem. Si no tienen activada la función va a salir vacio. Es claro que Telmex puede ver esos valores fácilmente.

Los probé y logré entrar, es la misma interfaz web del menú avanzado aunque pueden saltar a la normal. Aproveché para entrar a /xslt?PAGE=Z02 y es similar al URL Mágico ;D


Otra forma de obtener estos valores es ir a http://192.168.1.254/mdc y aplicar un filtro "cwmd" en el "Registro Detallado", y buscar una entrada similar a esta:
Código: [Seleccionar]
WRN [FECHA] cwmd: server=https://[OUI]-[SerialNumber]:[Password]@cwmp.telmex.com/ result 400 - retrying 

pero no es seguro que dicha entrada este presente en el log.

Estas pruebas las hice en con un 2wire 2701HG-T firmware 5.29.52.0 si lo hacen con otros avisen si les funcionó.

Como dato adicional, se acuerdan que salió un 2wire modelo 4011g-001??
Estos módems eligen un puerto aleatoriamente entre el 2000 y 2999 para la administración remota, y cambia cada reinicio. En algunos el puerto 80 también esta abierto. La contraseña es la WEP KEY predeterminada, tanto la de usuario normal como la de "Soporte Técnico" que pide en /xslt?PAGE=C_4_0. Pero como presentan problemas no se distribuyeron muchos. He leído que los volvieron a distribuir.

Espero al menos haber aclarado la duda sobre el puerto 50001
Saludos!!
« Última Modificación: marzo 02, 2012, 01:06:49 am por adiaz »

humberto121

  • *
  • Mensajes: 38
  • Liked: 2
Re: Acceso remoto a modem 2wire
« Respuesta #33 : agosto 20, 2011, 11:24:51 pm »
Felicidades adiaz :D

preth00nker

  • *
  • Mensajes: 130
  • Liked: 1
  • mov [MyBrain], IA
Re: Acceso remoto a modem 2wire
« Respuesta #34 : agosto 21, 2011, 06:18:07 pm »
Muchas felicidades adiaz, lo voy a probar haber que sale
Mov MyHeart, 4C6F7665h!!!

hkm

  • Moderador
  • *
  • Mensajes: 1245
  • Liked: 287
    • Hakim.Ws
Re: Acceso remoto a modem 2wire
« Respuesta #35 : agosto 22, 2011, 01:32:18 pm »
Muy bueno, felicidades Adiaz, ya le di +1  :)

adiaz

  • *
  • Mensajes: 38
  • Liked: 24
Re: Acceso remoto a modem 2wire
« Respuesta #36 : marzo 02, 2012, 12:59:43 am »
Agradezco algo tarde sus felicitaciones ;D, es que quería aprovechar mi siguiente respuesta.

Encontré una forma más fácil y rápida de obtener los valores para el acceso remoto en el puerto 50001, en:
Código: [Seleccionar]
/xslt?PAGE=BJ_STATUS

El usuario como ya sabemos es el SerialNumber y el password aparece como el Nonce.
« Última Modificación: marzo 09, 2012, 08:40:12 pm por adiaz »

hkm

  • Moderador
  • *
  • Mensajes: 1245
  • Liked: 287
    • Hakim.Ws
Re: Acceso remoto a modem 2wire
« Respuesta #37 : marzo 09, 2012, 12:34:10 am »
 ;D

Wow buenisimo. Buenisisisimo.

Probado en 2701HG-T Gateway 5.29.135.5.

proximamente en Routerpwn :)

chemical

  • **
  • Mensajes: 179
  • Liked: 14
Re: Acceso remoto a modem 2wire
« Respuesta #38 : marzo 09, 2012, 09:52:37 am »
Que tipo de encryptado tiene el hash, el que dices qie esta en el nonce ?

adiaz

  • *
  • Mensajes: 38
  • Liked: 24
Re: Acceso remoto a modem 2wire
« Respuesta #39 : marzo 09, 2012, 09:30:30 pm »
Que tipo de encryptado tiene el hash, el que dices qie esta en el nonce ?
Aún no se como la genera pero esa es la contraseña tal cual. Si es diferente para cada módem y no he visto que cambie.

proximamente en Routerpwn :)
Gracias por considerarlo para Routerpwn jeje.
« Última Modificación: marzo 10, 2012, 10:57:47 am por adiaz »

Do0mMx

  • *
  • Mensajes: 34
  • Liked: 8
Re: Acceso remoto a modem 2wire
« Respuesta #40 : marzo 13, 2012, 04:23:27 pm »
En casa de mi tía cambiaron el módem hace poco relativamente, creo le dejaron el  4011 algo así, al rato voy y checo haber que modelo exactamente es, bueno que este en Routerpwn.

Cherz !!!!!

adiaz

  • *
  • Mensajes: 38
  • Liked: 24
Re: Acceso remoto a modem 2wire
« Respuesta #41 : marzo 24, 2012, 08:57:05 pm »
En casa de mi tía cambiaron el módem hace poco relativamente, creo le dejaron el  4011 algo así, al rato voy y checo haber que modelo exactamente es, bueno que este en Routerpwn.

Cherz !!!!!

Hola, acabo de ver que en el 4011G-001 con versión de software 9.1.1.16 ya no tiene de inicio el puerto aleatorio abierto, si quieres activarlo deshabilita y habilita el firewall en "Ajustes", luego con nmap por ejemplo busca el puerto abierto entre el 2000 y el 2999.

Pero si quieres acceder remotamente por el puerto 80 deja deshabilitado el firewall. Si usas la página /xslt?PAGE=C_4_0 tienes más opciones en "Diagnósticos", la contraseña es la WEP KEY predeterminada.
« Última Modificación: marzo 24, 2012, 09:13:05 pm por adiaz »